Man krijgt taakstraf van 50 uur voor hackpogingen op Tweakers-accounts in 2018

Een 31-jarige man heeft van de rechtbank in Amsterdam een taakstraf van 50 uur gekregen voor aanvallen op Tweakers-accounts door middel van credential stuffing. De man voerde zijn aanvallen in 2018 uit en wist bij enkele honderden accounts binnen te komen.

Het Openbaar Ministerie eiste een taakstraf van 100 uur tegen de man. In de uitspraak matigt de rechter de taakstraf tot 50 uur, omdat de zaak al langer geleden speelde. De verdediging van de man pleitte voor vrijspraak, omdat de man enkel uit nieuwsgierigheid zou hebben gehandeld. Dat vindt de rechter niet geloofwaardig, omdat de man heeft geprobeerd om de verkregen gegevens door te verkopen.

De man voerde de aanvallen uit tussen 18 en 20 maart 2018. Hij maakte daarbij gebruik van het programma Private Keeper en probeerde met elders verkregen inlognamen en wachtwoorden accounts van Tweakers-gebruikers binnen te dringen. Dat lukte bij 383 accounts. Tweakers deed aangifte van de aanvalpogingen. Bij een huiszoeking werd onder andere een tekstbestand genaamd tweakers.txt gevonden met daarin credentials van gebruikers. De politie wees de man na onderzoek op de Tweakers-servers aan als verdachte.

Het OM beschuldigde de man ook van het plaatsen van valse advertenties op Tweakers-accounts. Volgens de rechter is daar geen overtuigend bewijs voor. Van dit feit is de man vrijgesproken.

Tweakers-systeembeheerder Kees Hoekzema deed kort na de aanvallen aangifte. In totaal viel de hacker Tweakers 192.000 en 32.000 keer aan, verdeeld over twee sessies. De aangifte was reden voor Tweakers om zich aan te sluiten bij het No More Leaks-project van de politie, een publiek-private samenwerking om grootschalige hackpogingen via credential stuffing tegen te gaan.

Reacties (234)

234

227

106

Wijzig sortering

madcon 1 augustus 2022 15:01

Dit is de eerste keer dat ik dit lees.
Zijn de personen waarvan destijds een (poging tot) inbraak is gedaan geïnformeerd?
Is er sprake van een datalek, zo ja, is dit gemeld bij de betreffende instanties?
In het artikel lees ik wel de consequenties voor de hacker maar niet voor Tweakers en haar gebruikers terug.

Kees BOFH @madcon • 1 augustus 2022 15:17

Ja, alle accounts waar ze op in wisten te loggen zijn toen gemaild (en hun wachtwoord gereset). Daarnaast hebben wij toen hetzelfde geprobeerd met email+wachtwoord lijsten die wij op het internet vonden. Het resultaat daarvan was dit .plan: plan: Tweakers waarschuwt accounthouders opnieuw voor uitgelekte wachtwoorden

Of het een datalek is of niet kun je over discussieren. Een jaar later heeft een soortgelijke aanval plaats gevonden, toen hebben we wel melding gemaakt van een datalek. Voor deze pogingen hebben wij dat niet gedaan (ook omdat het voor mei 2018 gebeurde).

[Reactie gewijzigd door Kees op 23 juli 2024 15:24]

Senaxx @Kees • 1 augustus 2022 16:39

Ja, alle accounts waar ze op in wisten te loggen zijn toen gemailed (en hun wachtwoord gereset). Daarnaast hebben wij toen hetzelfde geprobeert met email+wachtwoord lijsten die wij op het internet vonden. Het resultaat daarvan was deze .plan: plan: Tweakers waarschuwt accounthouders opnieuw voor uitgelekte wachtwoorden

Jullie geven aan dat jullie hetzelfde hebben geprobeerd... ondanks dat jullie de eigenaar van de site zijn, mogen jullie dan ook wel op accounts van Tweakers.net proberen in te loggen? Nogmaals ik snap heel goed dat jullie het doen hoor, en dat jullie in die geval er alleen goede bedoelingen mee hebben. Maar mogen jullie het überhaupt doen?

geerttttt @Senaxx • 1 augustus 2022 16:51

Ze hoeven niet in te loggen, ze controleren of er gebruikers in de database staan waarvan er wachtwoorden gelekt zijn en controleren of die overeen komen met hun huidige Tweakers wachtwoord.

Ze verschaffen zich dus geen toegang tot andermans account, ze controleren alleen het opgeslagen wachtwoord.

Google Chrome doet iets soortgelijks met je opgeslagen wachtwoorden trouwens.

ckoopmanschap @geerttttt • 1 augustus 2022 17:04

Kan een admin/systeembeheerder de wachtwoorden van gebruikers inzien dan? Ik zou verwachten dat die zijn afgeschermd.

geerttttt @ckoopmanschap • 1 augustus 2022 17:08

Dat is ook zo. Ze worden namelijk gehashed. Oftewel omgezet naar een reeks tekens. Dat is een proces wat maar 1 weg op werkt, dus van een wachtwoord naar een hash. Maar de gelekte wachtwoorden zijn niet gehashed.

Dus het gelekte wachtwoord kun je omzetten naar een hash en dan vergelijken met de bekende hash binnen tweakers.

Cergorach

Beveiliging en antivirus

@ckoopmanschap • 1 augustus 2022 17:10

Zouden ze niet op dezelfde manier een hash kunnen aanmaken en kijken of dat gelijk is (of iets dergelijks)?

Mavamaarten @Cergorach • 1 augustus 2022 18:13

Ja, maar dan moet je dus elke mogelijke combinatie van letters/tekens gaan uitproberen totdat je dezelfde hash uitkomt. En dat kan. Maar dat kost heel veel tijd (afhankelijk van het hashing algoritme).

Edit: ik dacht dat je bedoelde of een systeembeheerder niet van een hash terug naar het wachtwoord zou kunnen.

[Reactie gewijzigd door Mavamaarten op 23 juli 2024 15:24]

Kees BOFH @Mavamaarten • 1 augustus 2022 20:41

In dit geval had ik een lijst van mailadressen+wachtwoorden, ik kijk dan in eerste instantie of het mailadres in onze database voorkomt, en als dat het geval is dan hash ik het wachtwoord op dezelfde manier als wij zouden doen als een gebruiker inlogt op de website, en vergelijk die hash dan met wat er in de database staat. Als ze hashes overeen kwamen dan resette mijn script het wachtwoord van die gebruiker en stuurde hem een mail.

Als je inderdaad alleen de hashes hebt, dan duurt het heel erg lang voordat je het wachtwoord hebt gekraakt.

supersnathan94 @Kees • 1 augustus 2022 21:48

Ik kan me dit nog vaag herinneren. Ik zat er toen denk ik ook tussen en heb hier keurig bericht met tekst en uitleg over gehad. Hebben jullie toen hier ook netjes de werkwijze voorgelegd om enige twijfel over de methodieken weg te nemen.

Heedless @Kees • 2 augustus 2022 07:46

Als je inderdaad alleen de hashes hebt, dan duurt het heel erg lang voordat je het wachtwoord hebt gekraakt.

Plus dat je dan gewoon bezig bent accounts te kraken in plaats van te controleren, waar je niets aan hebt.

Weet nog dat ik een mail kreeg omdat ik toen een wachtwoord hergebruikte van ergens anders waar hij gelekt was. Vond het een prima actie en goede eye-opener.

Nokian95dude @Heedless • 2 augustus 2022 13:55

Das niet waar want als het mailadres voorkomt is het ww uberhaupt al gekraakt. Het zou dan puur tbv beveiliging zijn dat je controleert. Lijkt me erg logisch dat je de mensen die slachtoffer waren op de hoogte stelt. Bovendien mag je verwachten van een professionele site als Tweakers dat ze geen misbruikt maken van enige gegevens.

Maar gelukkig is deze procedure dus niet nodig.

DoeEensGek @Kees • 2 augustus 2022 13:08

Toch toont jouw methode ook aan dat een uitgelekt database met hashes ook gevaarlijk kan zijn. Elke belemmering die er nu is om massaal inlog pogingen te doen, is dan weg.

Verwijderd @Cergorach • 1 augustus 2022 21:44

Dat kan en dat noemen ze een "rainbow table attack"

bliksemsss @Verwijderd • 2 augustus 2022 08:35

daarvoor (of daartegen eigenlijk) voeg je weer een salt toe aan het password:
hash(password+SALT), waarbij de salt een willekeurige voorgedefinieerde reeks tekens is. Dan moet je weer een nieuwe rainbow table maken

djwice

@bliksemsss • 2 augustus 2022 09:08

Precies, en sommige partijen gaan zo ver om een salt per gebruiker te maken. Zodat als het Salt voor een gebruiker is gekraakt dat de rainbow table niet werkt voor de andere accounts.

Op Tweakers hebben we de optie om ook een 2FA (Google Authenticator) token toe te voegen aan je account, daardoor is naast je gebruikersnaam en wachtwoord ook je token-waarde nodig om in te loggen. De token waarde veranderd elke minuut.

Dat maakt het nog een stuk lastiger voor een hacker om je account via geautomatiseerde hack pogingen over te nemen.

[Reactie gewijzigd door djwice op 23 juli 2024 15:24]

dasiro @ckoopmanschap • 1 augustus 2022 20:51

ze zijn niet afgeschermd, maar zelfs niet bekend. Hashen zorgt ervoor dat het wachtwoord zélf nooit wordt doorgestuurd of opgeslagen. Simpel gezegd als je wachtwoord 123 is, dan gaat er een onomkeerbaar algoritme over dat bvb als uitkomst 45sAEFa"&é4 geeft. De volgende keer dat je probeert in te loggen wordt hetzelfde gedaan. Moest je 124 ingeven, dan komt er bvb QEFE"és566 uit en is krijg je een foutmelding dat het wachtwoord niet juist is. Als het een sterk algoritme is, dan zou eender welke input een unieke hash moeten weergeven en zelfs al wordt die bemachtigd, dan nog kan niemand te weten komen dat 123 jouw oorspronkelijke input was. Wat ze dus proberen is om een gelekt wachtwoord van elders door hetzelfde algoritme te halen en als de hash overeen komt waarschuwen ze je dat je wachtwoord gelekt is en resetten ze het direct, waardoor zij dus ook niet meer in je account kunnen. Het gelekte wachtwoord is daarmee niet van straat, maar je account is dat dan tenminste weer wel.

aikebah @dasiro • 1 augustus 2022 22:14

Als het een sterk algoritme is, dan zou eender welke input een unieke hash moeten weergeven

Hashing is nooit lossless, je hebt altijd collisions. De sterke algorithmes zijn compute en/of memory intensief, zodat het ondoenlijk wordt om collisions te brute-forcen voor bekende hashes.

PuzzleSolver @ckoopmanschap • 1 augustus 2022 17:11

Ik neem aan dat de passwords gehashed in de database staan. Maar er gaan op internet lijsten rond met wachtwoorden die door eerdere lekken zijn gevonden. Deze wachtwoorden zijn voor zover ik het heb begrepen gebruikt bij de poging.

Het is dus een kwestie van bij een user de hash van het password op de lijst te genereren en te kijken of deze overeenkomt met de hash in de database. (dit is simpel gezegd want er kan ook nog met salt gewerkt worden die per user verschilt)

Unknown Alien @ckoopmanschap • 1 augustus 2022 23:06

Ligt eraan hoe ze de pwds hebben opgeslagen. Platte tekst zou zelfs nog kunnen.

Hydranet @Kees • 1 augustus 2022 17:26

Fijn dat je tegenwoordig 2FA kan instellen op je account

madcon @Kees • 1 augustus 2022 16:13

Duidelijke uitleg Kees, dank!

GG85 @Kees • 2 augustus 2022 07:18

Waarvoor nog steeds dank. Was indertijd wat laks qua wachtwoorden (veel hergebruik) en kreeg ineens een mailtje van de Wehkamp met een bestelling voor een Imac met afleveradres Amsterdam West (woon in midden NL). Dat gelukkig kunnen annuleren en 2 uur later een mail van Tweakers met je komt voor in een aantal lekken.

Vanaf die tijd over op KeepassXC (+ Yubikey) met overal unieke wachtwoorden en 2FA als het een belangrijke site is.

Pentiummania @Kees • 2 augustus 2022 14:42

Op dezelfde dag als het .plan artikel kreeg ik een mailtje erover.

Bergen @Alex3 • 1 augustus 2022 19:35

Jij bent beter in spelling. Kees is beter in systeembeheer. Ieder zijn talent. Als je je nuttig wilt maken, kun je beter de nieuwsberichten controleren en fouten melden in het feedbacktopic.

[SK] Alchemist @Bergen • 2 augustus 2022 08:49

Je kan toch niet leren als je nooit verbeterd word

eggsforpedro @[SK] Alchemist • 2 augustus 2022 10:09

Sorry, kan het niet laten: wordt

CivLord

@[SK] Alchemist • 2 augustus 2022 10:50

En daar heb je dus het feedback topic voor, zodat er niet te veel irrelevante reacties onder het bericht komen.

Yggdrasil

@[SK] Alchemist • 2 augustus 2022 12:24

Daarvoor is het feedbacktopic bedoeld.

Puc van S. @madcon • 1 augustus 2022 15:12

Ik kan de nieuwsberichten/forumtopics niet direct zo terugvinden, maar het is toen zeker behandeld op t.net en het was toen zeker geen datalek op tweakers, maar iemand die vanuit andere bronen (bijvoorbeeld de adobe dataleak) probeerde met de daaruit gelekte accounts op t.net in te loggen.

Jaapvaak 1 augustus 2022 14:53

Waarom deed hij het uiteindelijk? Is dat bekend, heeft hij de accounts bijvoorbeeld gebruikt voor iets? (buiten z'n nieuwsgierigheid om)

[Reactie gewijzigd door Jaapvaak op 23 juli 2024 15:24]

Kees BOFH @Jaapvaak • 1 augustus 2022 15:05

Wat wij zagen was dat er (oude, dus 'betrouwbare') accounts gehacked werden en een paar uur later werden daar advertenties op gezet alla "MSI Geforce 1070 voor €320,- ". Of hij zelf die oplichting deed of dat een ander dat deed weten we niet, maar de timing deed wel vermoeden dat hij er iets mee te maken had.

Zelf heeft hij blijkbaar gezegt dat hij die advertenties niet geplaatst heeft, maar de account gegevens verkocht.

OxWax @Kees • 1 augustus 2022 15:33

Wat ik me afvraag : hoe kom je er bij het idee een TWEAKERSsite gerund door nerds/techfreaks te hacken? Dat is als een overval op een wapenwinkel in Texas vol rednecks (filmpjes op YT

)

Frame164 @OxWax • 1 augustus 2022 15:40

Of misschien willen aantonen dat site waar men het altijd zo goed weet als het om anderen gaat zelf ook kwetsbaar zijn?

phosporus @Frame164 • 1 augustus 2022 15:55

Zowel jij als Oxwax gebruiken termen als hacken en kwetsbaar. Met een publiekelijk te vinden wachtwoord dat mensen hergebruiken inloggen is niet te voorkomen voor de meeste websites. Je zou natuurlijk kunnen werken met ip filtering, mfa authenticatie of een andere oplossing, maar je voorkomt in de basis niet dat iemand inlogt met een legitiem wachtwoord. Dat er in korte tijd veel foutieve wachtwoorden werden geprobeerd is natuurlijk wel een indicatie dat er wat speelt. Je zou iemand die (pakkumbeet) 20 verkeerde inlogpogingen doet vanaf een bepaald ip automatisch een ip ban kunnen geven.

Cergorach

Beveiliging en antivirus

@phosporus • 1 augustus 2022 17:35

Met een publiekelijk te vinden wachtwoord dat mensen hergebruiken inloggen is niet te voorkomen voor de meeste websites.

Vandaar MFA, zonder tweede authenticatie methode geen toegang tot het account data. Maar dan moet het beschikbaar zijn en wel worden ingesteld door de gebruiker.

Tweakers.net kreeg pas eind april 2021 2FA, wat imho enigszins laat is...

Bron:
plan: Tweefactorauthenticatie vanaf vandaag beschikbaar op Tweakers

Sidenote: Ook zelf net pas ingesteld, ik was onder de indruk dat Tweakers.net nog steeds geen 2FA had...

n0np3r50n @phosporus • 1 augustus 2022 19:23

Woordenboek proberen en daarna pas hashen.

HooksForFeet @OxWax • 1 augustus 2022 15:47

Klaarblijkelijk lukte het prima.

JohanNL @OxWax • 1 augustus 2022 15:53

En daarom is er hier over het algemeen ook een groter vertrouwen dan op andere websites gok ik zo.
Met name dan het V&A gedeelte waar het om te doen leek uiteindelijk.
Stel je weet een betrouwbaar, jarenlang actief met goede recensies MP account binnen te dringen, dan is men alsnog op zijn hoede.
Maar zo'n zelfde soort account op Tweakers is gewoon kassa voor mensen met kwade bedoelingen.

Het is dus inderdaad een stuk lastiger, maar áls het je lukt kun je de accounts waarschijnlijk wel voor een veelvoud doorverkopen.

Verwijderd @OxWax • 1 augustus 2022 18:33

Haha dat is idd erg moedig.. maar ook erg dom!

laurens0619 @OxWax • 2 augustus 2022 00:19

Ik denk dat het uiteindelijk om de v&a scam ging en zoveel 2ehands site zijn er niet in nl

whiner @Kees • 1 augustus 2022 18:56

Dus hij plaatste een 1070 voor een normale 2e handsprijs. Dat is best wel vreemd

n0np3r50n @whiner • 1 augustus 2022 19:24

Nee hoor hij had er waarschijnlijk geen.

Verwijderd @Jaapvaak • 1 augustus 2022 14:55

Staat in het artikel: "omdat de man heeft geprobeerd om de verkregen gegevens door te verkopen"

lolgast @Jaapvaak • 1 augustus 2022 14:55

Dat staat toch in de tekst?
"Dat vindt de rechter niet geloofwaardig, omdat de man heeft geprobeerd om de verkregen gegevens door te verkopen."

EddyBucket @Jaapvaak • 1 augustus 2022 14:56

Waarom deed hij het uiteindelijk? Is dat bekend, heeft hij de accounts bijvoorbeeld gebruikt voor iets? (buiten z'n nieuwsgierigheid om)

Staat in het artikel:
Dat vindt de rechter niet geloofwaardig, omdat de man heeft geprobeerd om de verkregen gegevens door te verkopen.

Verwijderd 1 augustus 2022 16:01

Tweakers was ook beschamend laat met het invoeren van 2FA in 2021. Dan is het vragen om dit soort fratsen met accounts.

kodak

Beveiliging en antivirus

@Verwijderd • 1 augustus 2022 19:53

Nee, iemand vraagt niet om het overtreden van de wet als die kiest voor een beveiliging die jou niet bevalt. Daarbij sla je ook nog een belangrijk punt over, dat bij credential stuffing mensen zelf vaak al slordig met hun accountgegevens omspringen door ze te hergebruiken. Maar ook dan vragen slachtoffers niet om wetsovertreding, hooguit maken ze het overtreden makkelijker. Maar makkelijker is geen enkel excuus om het dan vragen om slachtofferschap te noemen. De wet stelt ook niet dat je met beveiliging die jou niet bevalt dus maar vraagt om overtredingen. 2fa helpt, maar je accountgegevens beter beschermen door ze niet te hergebruiken of op een andere manier makkelijk te raden of te weten te maken ook.

batjes @kodak • 2 augustus 2022 11:55

Kan allemaal zo zijn, maar er zit bv een juridisch verschil tussen inbraak en insluiping. De meeste inboedelverzekeringen hebben inbraak wel verzekerd, maar insluiping niet. Wettelijk zit er ook een verschil in straf.

Credential stuffing heeft meer weg van digitale insluiping, dan digitale inbraak.

Kagelol @batjes • 2 augustus 2022 13:27

Is het ook insluiping als de inbreker/insluiper de sleutel vind?
Het slot zat er op, alleen de sleutel lag onder de mat.

kodak

Beveiliging en antivirus

@batjes • 2 augustus 2022 15:13

Wat je verzekering dekt is niet relevant, dat is de wet niet maar een afspraak waar je zelf voor kiest of gaat onderhandelen.

Daarbij kan jij het wel graag willen zien als insluipen, maar het gaat om wat de wet strafbaar maakt onder de omstandigheden. En in geen van de gevallen is het vragen om iets strafbaars.

Zoidberg_AvG @Verwijderd • 1 augustus 2022 16:21

Ik verwacht dat de mensen die voor heel veel accounts hetzelfde wachtwoord gebruiken en niet snappen waarom dat niet slim is waarschijnlijk nog nooit van 2FA hebben gehoord.

Dit soort problemen los je niet op door 2FA als optie aan te bieden.

Verwijderd @Zoidberg_AvG • 1 augustus 2022 16:25

Er werd gebruik gemaakt van credential stuffing (wachtwoorddumps op het internet), en laat 2FA nou net wél een effectief middel tegen dit soort praktijken zijn. En je kunt dit als Tweakers natuurlijk gewoon afdwingen. Er zijn wel meer diensten waar het gewoon moet. Als je ergens werkzaam bent, kun je waarschijnlijk ook niet inloggen bij email/Office zonder een authenticator.

Zoidberg_AvG @Verwijderd • 1 augustus 2022 16:36

Er werd gebruik gemaakt van credential stuffing (wachtwoorddumps op het internet), en laat 2FA nou net wél een effectief middel tegen dit soort praktijken zijn.

Daarom zeg ik ook dat het niet oplost door 2FA als optie aan te bieden. De mensen die het gaan gebruiken zullen waarschijnlijk toch al een uniek wachtwoord voor tweakers hebben.

Ik snap ook wel dat verplichte 2FA een goed middel is om dit soort hacks te voorkomen, maar het verplichten zou er vrijwel zeker toe leiden dat een deel van de bestaande accounts niet meer gebruikt wordt en een aantal nieuwe leden geen account aanmaakt omdat ze niet op 2FE zitten te wachten (gevalletje: wat een gedoe, snap er geen zak, wtf is 2FA, laat maar zitten dat tweakers-account)

Voor mijn werkaccount en mijn mail en password-manager vindt ik 2FE nuttig, maar voor tweakers vind ik een uniek wachtwoord voldoende beveiliging.

n0np3r50n @Zoidberg_AvG • 1 augustus 2022 19:31

Ja maar wie wil nou 2FA voor deze website, echt?

Ja er staan een boel advertenties maar kan je daarmee als gebruiker geld verliezen?

Verwijderd @n0np3r50n • 1 augustus 2022 20:01

Ik zou niet graag willen dat er iemand in mijn account komt kijken. Tussen kopers/verkopers worden er adressen, telefoonnummers en banknummers uitgewisseld. Zeker dat je wel de gegevens van paar duizend mensen uit de DMs kan trekken als je een zooi accounts hackt hier.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 15:24]

n0np3r50n @Verwijderd • 1 augustus 2022 20:39

Er zaten bekende accounts bij dus oude rotten gebruiken hetzelfde wachtwoord op meerdere accounts. Tja natuurlijk is het vervelend maat je bent Tweaker dus...

Misschien inderdaad 2FA voor Tweakers dan maar... Gedoe?

Er gaat een boel geld over reputatie neem ik aan, want goede reputatie; ik hoef mij niet zorgen te maken, ik koop bij jou. Nou niet dus.

Misschien 2FA voor belangrijke zaken zoals advertenties toevoegen maar inloggen...

Argantonis @Zoidberg_AvG • 2 augustus 2022 03:21

Ik verwacht dat de mensen die voor heel veel accounts hetzelfde wachtwoord gebruiken en niet snappen waarom dat niet slim is waarschijnlijk nog nooit van 2FA hebben gehoord.

Dit soort problemen los je niet op door 2FA als optie aan te bieden.

Dat gaat wat ver. Ik heb op Tweakers ook erg lang een simpel oud wachtwoord gebruikt, simpelweg omdat ‘t me gewoon niet genoeg interesseerde als iemand daarop zou inloggen, en het gemak van even snel het wachtwoord intypen, ook op mobiel zonder eerst weer m’n password manager te moeten unlocken, ook een bepaalde waarde heeft als gebruiker. En ik weet goed wat MFA is, aangezien ik ‘t zelf heb geïmplementeerd in een backend van een internetapplicatie die wat serieuzere bedrijfsgegevens bevat.

Kijk, als je dat wachtwoord ook voor je bank zou gebruiken is het wat anders. Maar voor de meeste mensen is Tweakers een beetje comments of posts plaatsen en zij hebben zelf 0 schade als er op hun accounts frauduleuze advertenties worden geplaatst.

[Reactie gewijzigd door Argantonis op 23 juli 2024 15:24]

JumpStart 1 augustus 2022 15:12

Een totaal van 224.000 pogingen en slechts 383 keer "raak" middels credential-stuffing.

Als een klein lichtpuntje is dit wel een compliment aan de T-net gemeenschap: Er was slechts een hele kleine fractie gebruikers die een die standaard woordenlijst wachtwoord gebruikt(e) in 2018.

Kees BOFH @JumpStart • 1 augustus 2022 15:32

Dat had ook te maken dat het feit dat hij regelmatig de rate-limiting per ip-adres aanraakte. Ook al gebruikte hij vrij veel adressen; het kwam regelmatig voor dat hij een paar honderd pogingen per adres deed, en alles boven de 5 of 10 pogingen mislukte dan sowieso al.

SunnieNL

@JumpStart • 1 augustus 2022 15:37

Weet ook niet of MFA toen al te gebruiken was op Tweakers?
(of telt dat ook als een gelukte poging als je tot dat punt aan komt?)

Kevin Mol 1 augustus 2022 15:11

Klopt het dat dit project waar Tweakers zich aangesloten heeft niet in de Privacy voorwaarden van Tweakers vermeld wordt?

Daarnaast is er, zover ik kan vinden geen update / uitleg over het aansluiten van het No More Leaks project

Kees BOFH @Kevin Mol • 1 augustus 2022 15:30

We zitten nog in de ontwikkelfase met dat project, het staat nog niet live. Tegen de tijd dat het wel aan staat verwacht ik dat wij dat wel gaan melden en uitleggen in een .plan en/of de voorwaarden aanpassen waar dat nodig is (ik ben geen jurist, maar ik verwacht niet dat de voorwaarden ervoor aangepast voor hoeven te worden, er worden geen tweakers-inloggegevens met een derde partij gedeeld)

Kevin Mol @Kees • 1 augustus 2022 15:33

Ah, ok.

Zoals het nu beschreven staat lijkt het alsof dit al live staat. Misschien dit verduidelijken in het bericht?

Mel33 @Kevin Mol • 1 augustus 2022 20:28

Ze linken nu in het eerste uitleg item 'Waarom No More Leaks?' naar een leuke pagina met info en tips https://veiliginternetten.nl/

aikebah @Kees • 1 augustus 2022 22:27

Moet zeggen dat ik toch meer gecharmeerd ben van HaveIBeenPwned met een full disclosure over de gevolgde systematiek voor checken van credentials tegen de leaked passwords database dan NoMoreLeaks met "De precieze werkwijze van dit hashen kan hier niet worden gedeeld".
Klinkt alsof ze meer zaken meenemen dan het wachtwoord... zodat je vervolgens alsnog kwetsbaar bent (voor random brute-force credenential stuffing) als je toevallig een statistisch veelgelekt wachtwoord hebt gekozen als je unieke wachtwoord voor de site.

smesjz 1 augustus 2022 15:27

Er wordt wel schadevergoeding toegewezen waarbij verdediging klaagt dat - ik denk Kees - niet op KvK uittreksel stond. Rechtbank negeert dit gelukkig:

De benadeelde partij [benadeelde partij] vordert € 403,34 aan vergoeding van materiële schade, te vermeerderen met de wettelijke rente.
De verdediging heeft zich op het standpunt gesteld dat de benadeelde partij niet-ontvankelijk moet worden verklaard in de vordering. Uit de vordering blijkt niet dat de indiener van de vordering, [persoon] , over een rechtsgeldige volmacht beschikt om de schadevergoeding te vorderen. In het uittreksel uit het handelsregister staat niet dat degene die de volmacht heeft ondertekend bevoegd was de rechtspersoon te vertegenwoordigen.

Kees BOFH @smesjz • 1 augustus 2022 15:49

Op het KvK-uittreksel stond inderdaad niet de naam van de directeur die de machtiging heeft ondertekent waarmee ik aangifte heb gedaan namens het bedrijf. Voor deze aangifte (en verzoek tot schadevergoeding) heb ik eerst onze juridische afdeling een volmacht laten opstellen en die vervolgens door onze toenmalige directeur laten tekenen.

Maar zijn naam stond niet op het uittreksel dat het OM pas een jaar later opvroeg omdat hij toen al ergens anders werkte binnen de organisatie.

joost00719 1 augustus 2022 14:51

50 uur taakstraf lijkt mij voldoende/eerlijk voor deze man om zich de volgende keer twee keer na te denken en zich te weerhouden van dit soort praktijken.

[Reactie gewijzigd door joost00719 op 23 juli 2024 15:24]

ernstoud

@joost00719 • 1 augustus 2022 15:00

Het feit dat hij nu een strafblad heeft lijkt me belangrijker voor de bewustwording.

Lijkt me overigens dat iemand die in 383 woningen inbreekt geen taakstrafje krijgt. De straf voor cybercrime is m.i. nog steeds veel te laag.

OmgItsKoen @ernstoud • 1 augustus 2022 15:06

Nu vergelijk je ook appels met peren. Ik heb 10000000x liever dat er iemand in mijn (betrekkelijk waardeloze) Tweakers account inbreekt, dan naast mijn bed staat 's nachts.

SunnieNL

@OmgItsKoen • 1 augustus 2022 15:35

Totdat het je bank account is, of hij rotzooi trapt via je account en jij allerlei mensen op je dak krijgt en moet gaan bewijzen dat jij het niet was.

Overigens vind ik ook dat bedrijven die geen enkel poging doen om hun accounts extra veilig te maken, ook gewoon een boete behoren te krijgen (ik kijk naar jou bol.com). Zeker als zij betaalgegevens opslaan. Want dat is ook wel een vorm van nalatigheid.

Mangu429 @SunnieNL • 1 augustus 2022 15:48

Totdat het je bank account is, of hij rotzooi trapt via je account en jij allerlei mensen op je dak krijgt en moet gaan bewijzen dat jij het niet was.

Dat nog liever dan een inbreker die naast mijn bed staat met een bloederige bijl omdat hij de mijn kinderen en vrouw vermoord heeft.
Het is maar net wat je met elkaar wilt vergelijken om het een erger te doen zijn dan het ander.

Zer0 @Mangu429 • 1 augustus 2022 16:19

die naast mijn bed staat met een bloederige bijl omdat hij de mijn kinderen en vrouw vermoord heeft.

Dat is geen inbreker, dat is een moordenaar.....

Jerie

@Zer0 • 2 augustus 2022 13:56

Klopt, je gaat uit van de meest ernstige misdaad bij omschrijving. Dat een terrorist (of moordenaar) ook 20 km te hard door rood rijdt is dan van minder belang.

Blokker_1999

Beveiliging en antivirus

@SunnieNL • 1 augustus 2022 15:49

Maar dat is allemaal niet gebeurd. Straffen werden meestal uitgedeeld in verhouding tot de begane inbreuk op de wetgeving.

En tenzij bol.com een PSP is, mogen zij geen betaalgegevens opslaan. Hoogstens een token om betalingen mee te kunnen doen.

SunnieNL

@Blokker_1999 • 1 augustus 2022 17:31

Bol.com mag gewoon creditcardgegevens op slaan. Daar hoeven ze geen PSP voor te zijn.
Daarnaast kan ik bij bol.com bestellen op rekening en dat ergens anders laten afleveren, geen enkel probleem. Wel voor degene wiens account is gehacked. Want bewijs jij maar eens dat je die bestelling niet hebt gedaan.. het is immers jouw account.

Ik vind het op dat punt echt totaal slecht als bedrijven waar je dingen kan bestellen op rekening, je het pakket ergens anders kan laten afleveren en ze eventueel ook nog creditcard gegevens opslaan, alleen puur beveiligd kunnen zijn met een emailadres en een zeer eenvoudig wachtwoord wat niet eens hoeft te voldoen aan de simpelste regels (mijn wachtwoord daar van een test account is bv. maar 5 tekens lang en bevat alleen kleine letters en een cijfer). Tevens wordt er geen check uitgevoerd of het wachtwoord bekend is in gelekte lijsten. Terwijl dat allemaal zo veel makkelijker kan door bv. het wachtwoord te checken (dat doen browsers zelfs al tegenwoordig als je op 'ww onthouden' drukt) of door MFA optioneel of zelfs verplicht te maken.

aikebah @SunnieNL • 1 augustus 2022 22:40

Bol.com mag gewoon creditcardgegevens op slaan. Daar hoeven ze geen PSP voor te zijn.

Daar moeten ze wel een PSP voor zijn. Anders mogen ze enkel een alias opslaan waar hun PSP creditcardgegevens van kan maken.

PhaeTom @SunnieNL • 1 augustus 2022 15:49

Ik denk dat dit is wat @OmgItsKoen bedoelt, aan Tweakers zit minder verbonden dan aan een "bank account". Het kan ook niet je "bank account" zijn. Bedoel je te zeggen dat de straffen net zo hoog moeten zijn als misbruiken van een hack bij een bank? Dat vind ik nogal overdreven namelijk.

SunnieNL

@PhaeTom • 1 augustus 2022 17:40

Is een inbraak in mijn schuur, auto of zomerhuis minder erg dan een inbraak in mijn woning?
Voor mijn gevoel is het allemaal net zo erg.

Het ligt er puur aan wat er daarna mee gebeurd. Deze persoon heeft eerst accounts gehacked en daarna doorverkocht. Hij of iemand anders heeft vervolgens fake advertenties erop gezet die als doel hebben mensen geld afhandig te maken. Was dat gelukt, dan hadden de mensen achter de gehackte accounts echt wel een tijdje met wat problemen gezeten. Bewijs het allemaal maar eens.
Wat mij betreft mag dat net zo zwaar bestraft worden als inbreken bij een bankaccount. Je verkoopt de accounts immers door om identiteitsfraude mee te plegen (want de persoon van de advertenties doet zich voor als iemand anders)

bussie66 @SunnieNL • 1 augustus 2022 16:22

Ik kan je uit ervaring vertellen dat jij veel liever een gehacked bank-account hebt dan iemand 's-nachts in je woning, of heb je er ook ervaring mee?

SunnieNL

@bussie66 • 1 augustus 2022 17:36

Ik denk dat ik liever een inbreker in mijn huis heb dan dat iemand mijn account hier of bv. bij bol.com hacked. Die inbreker is eenmalig en kan ik vrij simpel aanpassen. Echter het gezeik wat je krijgt bij misbruik van een Tweakers account of bestellen op iemands naam via een gehacked account is veel lastiger op te lossen (laat staan als mijn rekening wordt geplunderd door een gehacked bank account).
De psychologische schade zal in beide gevallen zeer hoog zijn.

Frame164 @OmgItsKoen • 1 augustus 2022 15:42

Met jouw accountgegevens kan men anderen oplichten. Zeker als je een goede status hebt bij Vraag&Aanbod waardoor mensen vertrouwen hebben in de verkoper.

Techman @OmgItsKoen • 2 augustus 2022 11:37

Er is wel eens bij mij ingebroken, dat is toch een stuk erger hoor. Je hele huis voelt daarna onveilig. Sliep pas weer goed met een alarmsysteem. 50 uur is echter wel kort, twee weken cel en er bovenop 50 uur taakstraf lijkt me beter.

[Reactie gewijzigd door Techman op 23 juli 2024 15:24]

HKS-Skyline @ernstoud • 1 augustus 2022 15:07

Het psychologische effect op het slachtoffer is niet te vergelijken met dat van een woninginbraak, het zou dus niet logisch zijn om diefstal van digitale gegevens gelijk te behandelen aan een woninginbraak. Wanneer gegevens misbruikt worden voor dingen als identiteitsfraude is het een ander verhaal, maar enkel het verkrijgen van de gegevens staat niet gelijk aan woninginbraak.

StGermain @HKS-Skyline • 1 augustus 2022 16:12

Dit! Als één van mijn accounts gehackt zou worden is het een beetje gedoe maar het leven gaat verder. Na een inbraak ben ik ongeveer 20 jaar lang wakker geworden van elk gerucht in huis en ging ik met de hamer in de hand alles checken. Pas sinds enkele jaren slaap ik weer rustig. Geloof me vrij, een inbraak vreet echt aan je.

Keypunchie @joost00719 • 1 augustus 2022 15:18

Helemaal mee eens dat het een gepaste straf is. Maar dat het 4 jaar heeft geduurd voordat hij de straf kreeg vind ik nogal gortig.

Het is geen wereldschokkende zaak dit, dus snap dat het geen top-prio krijgt, maar het is duidelijk dat het rechtsstelsel meer middelen nodig heeft.

Nu heeft de dader 4 jaar in onzekerheid geleefd over zijn vervolging, wat niet bepaald eerlijk is.

En vooral ook voor Tweakers en de samenleving geeft het toch bepaald geen goed gevoel al die tijd of er überhaupt wat van de aangifte terecht komt.

Tranquility @Keypunchie • 1 augustus 2022 15:35

Die straf is een lachertje en is totaal niet in proporties voor deze uitgebreide en goed over nagedachte fraude en bewuste diefstal van persoonlijke gegevens.

P. vd Loo @Tranquility • 1 augustus 2022 15:43

Mee eens. Maar als een moordenaar van Pim Fortuyn met een paar jaar weg komt in Nederland snap ik het weer wel.

Tranquility @P. vd Loo • 1 augustus 2022 15:46

Inderdaad, dat is ook zo iets verbijsterends, dat een moordenaar van een politicus daar zo makkelijk is mee weggekomen.

oltk @P. vd Loo • 1 augustus 2022 21:10

Hm.
Er zijn diverse redenen waarom Volkert vd G 18 jaar (strafvermindering na 11 jaar zitten) heeft gekregen. Met name wordt gekeken naar zijn historie (hij was first offender) en andere zaken. Het OM eiste levenslang overigens. https://eenvandaag.avrotr...slang-zou-kunnen-krijgen/

En in NL straffen we redelijk streng. In andere landen hanteren ze ook een systeem van strafverlaging (een puntensysteem) die afhangt van jouw situatie als dader. Zo kan bijvoorbeeld een taakstraf veel effectiever zijn in voorkomen van herhaalgedrag of kan een zwaardere (gevangenisstraf) zelfs maatschappelijk ongewenst zijn. Bijvoorbeeld als de dader een gezin/kind heeft die hij moet onderhouden. Dan worden onschuldigen met zijn probleem opgezadeld.
https://www.secjure.nl/20...e-rechters-laag-straffen/

P. vd Loo @oltk • 2 augustus 2022 00:05

Dat laatste vind ik nog bizarder. Je zou just van ouders mogen verwachten dat ze zich verantwoordelijk gedragen, omdat ze de zorg voor een kind hebben en daardoor minder snel crimineel gedrag vertonen. Nu worden kinderen juist ingezet om de dader een lagere straf te geven.

Onschuldigen, de brave Nederlanders bedoel ik, worden toch al met de problemen van misdadigers opgezadeld. Zij betalen namelijk voor de rechtsgang en kosten van opsluiting.
Daarnaast kun je je afvragen of een kind bij een dergelijke onverantwoordlijke ouder wel een goede opvoeding krijgt en wellicht elders beter af is.

Zer0 @P. vd Loo • 1 augustus 2022 16:24

Een paar jaar? Hij heeft 11 jaar vastgezeten.

Verwijderd @Zer0 • 1 augustus 2022 18:40

Dat is niet heel veel voor moord. Slechts 15-20% van je leven afstaan voor moord vind ik zelf geen eerlijke ruil.

surfin @Verwijderd • 2 augustus 2022 12:04

De inzet van de straf is dan ook geen ruilhandel.
Dat gezegd hebbende: 11 jaar voor een politieke moord is niet uit te leggen.

Banding @surfin • 2 augustus 2022 23:04

Met de huidige tijdgeest ,was het 30 jaar geworden.

surfin @Banding • 3 augustus 2022 09:14

Voor een dergelijke aanslag op de Democratie zou ik dat persoonlijk al beter, maar nog steeds aan de korte kant vinden.

Laten we hopen dat er nooit meer een politicus wordt vermoord om wat hij zegt/vind.

Jerie

@Verwijderd • 2 augustus 2022 13:59

Ik vind het wel veel. En nu? Overigens zou hij nu langer zitten want de automatische gratie is afgeschaft, en een deel van de straf is inderdaad terugkeren in maatschappij. Hij zal verder nooit meer een normaal leven kunnen lijden in Nederland.

Verwijderd @Jerie • 2 augustus 2022 14:31

Nou, hij woont in een gewone buurt en doet zelfs mee aan lokale hardloopraces. Klinkt als een normaal leven.

Jerie

@Verwijderd • 2 augustus 2022 16:13

Hij moest zelfs ergens in de middle of nowhere gaan wonen. Hij mag niet emigreren, wordt bedreigd en gestalked. Nee, deze man lijdt geen normaal leven in vergelijking met bijvoorbeeld Scooter Libby.

Verwijderd @Jerie • 2 augustus 2022 16:24

Hij moest zelfs ergens in de middle of nowhere gaan wonen. Hij mag niet emigreren, wordt bedreigd en gestalked. Nee, deze man lijdt geen normaal leven in vergelijking met bijvoorbeeld Scooter Libby.

Hij leeft
Heeft een vriendin
Woont in Harderwijk of Apeldoorn geloof ik
Doet mee aan publieke evenementen

Yeah, klinkt redelijk normaal. Dat andere neem je op de koop toe als je iemand door z'n kop knalt. Overigens mag hij wel degelijk emigreren als ik het nieuws en zijn rechtszaak erop nasla:
https://nos.nl/artikel/22...ren-meldplicht-versoepeld
https://www.pzc.nl/binnen...-mag-emigreren~a6d63c28f/

Jerie

@Verwijderd • 2 augustus 2022 18:20

Volgens mij had hij moeite met werk vinden ivm z'n verleden. Ook het bedreigd worden vind ik niet normaal.

Het hebben van een vriendin vind ik irrelevant. Lachwekkend argument.

Verder is het een volstrekt nutteloze daad geweest, die gelukkig niet is herhaald. Het rechts-populisme is in opkomst in Europa, en centrum-links is sinds Paars 2 niet meer aan de macht geweest (al willen rechts-populisten ons anders proberen te doen geloven). Activistisch links Nederland stelt verder weinig meer voor; AIVD waarschuwt dan ook met name voor extreem-rechts/rechts-populisme met de kanttekening dat extreem-links wel weer terug kan keren.

Maar nog even terugkeren op dat jij 15-20% van je leven voor een moord geen eerlijke ruil vindt. Dus jij ziet het zeg maar theoretisch gezien wel zitten politicus vermoorden in ruil voor 20% van je leven?

surfin @Jerie • 3 augustus 2022 09:44

Het bedreigd worden vind ik ergens begrijpelijk maar niet acceptabel, ik zou dan ook verwachten dat daar net zo op ingegrepen wordt als bij elke andere burger.

Verder is het een volstrekt nutteloze daad geweest,

Ik denk eerder dat het averechts heeft gewerkt en rechts-populisme in de hand heeft gespeeld.

Dus jij ziet het zeg maar theoretisch gezien wel zitten politicus vermoorden in ruil voor 20% van je leven?

Getuige de bedreigingen op politici de afgelopen jaren denk ik dat er zeker activistische mensen zijn die dat overwegen.

Verwijderd @Jerie • 3 augustus 2022 12:07

Dus jij ziet het zeg maar theoretisch gezien wel zitten politicus vermoorden in ruil voor 20% van je leven?

Er zijn denk ik genoeg gekkies die dit als een aanvaardbaar risico zien. Ik zou persoonlijk zeggen dat zo'n persoon levenslang de bak in moet.

Banding @Verwijderd • 2 augustus 2022 23:05

Ach, dacht dat hij naar het buitenland was geëmigreerd.

surfin @Jerie • 3 augustus 2022 09:35

Hij zal verder nooit meer een normaal leven kunnen lijden in Nederland.

Dat is toch gewoon zijn eigen keuze geweest?

Om het psychiatrisch onderzoek te quoten:

Hij is een intellectueel hoogbegaafde, lichamelijk gezonde man, bij wie sprake is van een obsessieve-compulsieve persoonlijkheidsstoornis. Deze komt tot uiting in perfectionisme dat het voltooien van taken bemoeilijkt en in overmatige toewijding aan het werk met uitsluiting van ontspannende bezigheden en vriendschappen.

Het is dus iemand die prima de gevolgen van zijn acties kan overzien.

Zijn reden om de moord te plegen:

Zijn voornemen was ingegeven door zijn verwachting dat het slachtoffer "een groot gevaar" zou vormen voor "de zwakkeren"

Daarmee geeft hij dus duidelijk aan dat hij willens en wetens het Democratische process heeft verstoord. Daarmee heeft hij onze maatschappij veranderd. Dus naast dat hij ervoor heeft gekozen om de gevolgen van zijn actie te nemen heeft hij de rest van het land ook iets ontnomen.

Voor mij maakt het niet zozeer uit welke politicus hij heeft vermoord (zelf in 2002 D66 gestemd): hij heeft de Nederlandse Democratie in zijn eentje gestuurd. Daarna nog zitten "spelen" met de regels die hem opgelegd waren (Mediaverbod maar toch een fotosessie met de Telegraaf, recht op emigratie vragen om onder de meldplicht uit te komen en dan niet emigreren).

Als hij na die 11 jaar zich gewoon aan de gestelde (tijdelijke) voorwaarden had gehouden of, zoals hij zelf voorstelde, was geemigreerd: Prima, straf uitgezeten en blijkbaar ervan geleerd, welkom terug in de samenleving.
Nu heeft hij echt een loopje genomen met de Democratische rechtsstaat en 0,0 berouw getoond voor de politieke moord.
Zo iemand verdiend in mijn boekje niet echt een normaal leven in NL.

Jerie

@surfin • 3 augustus 2022 10:20

De Staat ging niet vrijuit in het genoemde juridische proces.

Hij heeft vziw juist wel berouw getoond. In het begin niet inderdaad. Maar hij heeft ingezien dat zijn daad averechts heeft gewerkt.

Ik ben zelf van mening dat het vermoorden van een politicus zelden het gewenste doel heeft, dusdanig dat men de optie niet zou moeten overwegen. Ongeacht democratie of dictatuur. Dwz stel Hitler was vermoord dan was zijn gedachtegoed daarmee niet verdwenen. Integendeel. Het gedachtegoed van Stalin (die heeft onder de streep meer doden op geweten dan Hitler) is ook niet verdwenen toen hij dood ging. De volgende iteratie uit politburo was direct gebaseerd op de voorganger. Voor een grote verandering is meer nodig en wat je ziet bij politieke moorden is dat het volk meer achter de vermoorde politicus gaat staan. Een uitzondering zou zijn in combinatie met een regime change maar dan krijg je wel te maken met een autoritaire staat (vb: Allende -> Pinochet).

Ergo alleen het feit al dat Volkert van der Graaf niet het beoogde effect heeft gehad met zijn politieke moord is al meer waard dan de gevangenisstraf op zich. Het geeft namelijk haarfijn weer dat de daad en straf het niet waard waren. En dat niet alleen hij heeft zich niet alleen al die tijd niet in kunnen zetten middels zijn werk, hij kan zijn werk niet meer beoefenen. Links Nederland (van wat daar nog van over is) heeft hem ook uitgekotst. Dat zijn neveneffecten die je niet van te voren kunt overzien. Maar ze zijn er wel. Zijn leven zoals het was is door zijn daad nooit meer hetzelfde.

Er zijn wat mij betreft veel grotere problemen in dit land (gerelateerd aan strafmaat) al is het alleen al omdat de standaard gratie is komen te vervallen. De georganiseerde misdaad bijvoorbeeld maar ook tieners die voor hun 18e worden geronseld om criminele activiteiten te verrichten want minderjarig, tot aan moord aan toe. En met jeugdstrafrecht zijn ze dan binnen no time weer op vrije voeten.

surfin @Jerie • 3 augustus 2022 10:49

Hij heeft vziw juist wel berouw getoond. In het begin niet inderdaad. Maar hij heeft ingezien dat zijn daad averechts heeft gewerkt.

Inzien dat zijn daad niet het gewenste effect heeft staat toch haaks op berouw. Berouw is inzien dat je de daad niet had moeten doen en daar spijt van hebt, ongeacht of de daad zijn doel heeft bereikt of averechts heeft gewerkt.

Ik ben het volledig met je eens dat politieke moorden zelden het gewenste doel hebben, ik denk dat in dictaturen de "succes" factor misschien wat hoger ligt al is dat puur op gevoel.

vd Graaf is getest als een intellectueel hoogbegaafd persoon, ik ben het niet met je eens dat hij niet had kunnen overzien dat hij uitgekotst zou worden door heel Nederland incl Links. Dat zijn leven door zijn daad nooit meer het zelfde zal zijn als voor zijn daad wist hij of had hij redelijkerwijs kunnen weten.

Voor wat betreft de strafmaat in Nederland: Ja en nee, van mij mag de straf op zaken als moord en gewelddadige (groeps) verkrachting best wel hoog/erg hoog liggen. Idem voor een dodelijk/blijvend letsel ongeluk veroorzaken onder invloed.
De schade die daarmee gedaan wordt aan het slachtoffer+famillie etc. is echt heel hoog. Zolang iemand toerekeningsvatbaar is hadden ze die gevolgen kunnen overzien.
Voor lichtere vergrijpen ben ik het met je eens dat de strafmaat zo moet zijn dat de dader er van leert en met goede reintegrate hulp vanuit de overheid weer terug kan keren in de samenleving.

Dat staat wat mij betreft los van de ellende die de georganiseerde misdaad in dit land te weeg brengt, meer maatschappelijk/jongerenwerkers en wijkagenten die de wijk echt de aandacht kunnen geven die het nodig heeft ben ik ook zeker voor.
We moeten voorkomen dat jongeren vallen voor de trucjes van de criminelen.Mocht dat toch gebeuren dan kunnen we er maar beter zo vroeg mogelijk bij zijn om de impact van de criminelen op het nog jonge leven van de kids te beperken.

Je opmerking over de standaard gratie begrijp ik niet helemaal: Kun je uitleggen waarom je dat een probleem vind?

T-Forever @joost00719 • 1 augustus 2022 14:58

Dat is een aanname, net als ik doe nu, als deze meneer 'voor' hij gepakt werd 100.000 euro heeft verdiend aan dit soort zaken. stopt hij nooit meer.

Verwijderd @T-Forever • 1 augustus 2022 15:02

Ze zullen hem toch hopelijk wel harder aanpakken als hij een recidivist is.

EddyBucket 1 augustus 2022 14:53

Waarom wordt er gesproken van 'pogingen' terwijl het de man wel degelijk gelukt is om binnen te dringen bij 383 accounts?

Jeroen73 @EddyBucket • 1 augustus 2022 15:03

Daar wordt hij ook voor veroordeeld. Uitspraak:

Verdachte wordt er kort gezegd van beschuldigd dat hij in de periode van 18 maart 2018 tot en met 20 maart 2018
(samen met anderen) servers van Tweakers heeft gehackt, door op 383 Tweaker-accounts in te loggen met behulp van het programma Private Keeper,
heeft geprobeerd een server van Tweakers te hacken door op ongeveer 224.000 Tweaker-accounts te proberen in te loggen met behulp van het programma Private Keeper;
290 gebruikersnamen en bijbehorende wachtwoorden heeft verworven, voorhanden heeft gehad en ter beschikking heeft gesteld, met als doel daarmee te hacken;
(samen met anderen) gegevens die door middel van een geautomatiseerd werk werden opgeslagen wederrechtelijk heeft veranderd of onbruikbaar heeft gemaakt, door (valse) advertenties te plaatsen op Tweaker-accounts.

The Zep Man

Beveiliging en antivirus

@EddyBucket • 1 augustus 2022 15:44

Waarom wordt er gesproken van 'pogingen' terwijl het de man wel degelijk gelukt is om binnen te dringen bij 383 accounts?

Omdat de pogingen alleen al onder computervredebreuk vallen, en daarom relevant zijn.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 15:24]

blorf @EddyBucket • 1 augustus 2022 15:14

Volgens mij vanwege de methode. Een lijst gebruikersnamen en wachtwoorden die ergens openbaar is geworden voeren aan de T.net login met de nodige configuratie zodat het niet is te onderscheiden van normaal verkeer. Waarschijnlijk heeft hij tienduizenden accounts uitgeprobeerd.

EddyBucket @blorf • 1 augustus 2022 15:20

Oké dat klinkt logisch; hij heeft tienduizenden pogingen gedaan. Echter is het nu ook bewezen dat hij 383 accounts heeft gehacked. Dan spreek je toch niet meer over pogingen?

blorf @EddyBucket • 1 augustus 2022 15:35

Hij had een plan en heeft programmatuur gebruikt om het te bereiken. Dat is in Ieder geval de hack waar hij voor is veroordeeld. Het slechtste idee van hem was proberen die informatie te verkopen, gok ik. Daar komt hij goed mee weg.

ATS @blorf • 1 augustus 2022 15:22

224.000 accounts, om precies te zijn. Dat staat in het artikel.

Sneek 1 augustus 2022 14:54

Het OM beschuldigde de man ook van het plaatsen van valse advertenties op Tweakers-accounts. Volgens de rechter is daar geen overtuigend bewijs voor. Van dit feit is de man vrijgesproken.

Interessant, je zou verwachten dat dit goed aan te tonen is, of dat hij in elk geval medeverantwoordelijk is voor die (poging tot) oplichten. De uitspraak zegt:

"Anders dan de officier van justitie vindt de rechtbank ook niet dat sprake is van medeplegen doordat verdachte de inloggegevens heeft verkocht. Door het verkopen van de gegevens heeft verdachte niet automatisch opzet op het gebruik van die gegevens om valse advertenties mee te plaatsen. Dat opzet volgt ook nergens anders uit."

Zoidberg_AvG @Sneek • 1 augustus 2022 15:05

Als er nooit een poging tot oplichting is gedaan met de inloggegevens kan hij ook niet medeplichtig zijn.
Je kan niet medeplichtig zijn aan een misdrijf dat nooit heeft plaatsgevonden.

Kees BOFH @Zoidberg_AvG • 1 augustus 2022 15:12

Die pogingen zijn wel gedaan, vaak zelfs binnen een uur nadat een account was gehacked. Niet bij alle accounts, maar voornamlijk bij de wat oudere accounts.

Zer0 @Zoidberg_AvG • 1 augustus 2022 15:17

Afaik kan het voorbereiden van een misdrijf al een misdrijf opzich zijn.
https://www.jouwadvocaat....n%20van%20uitvoering%20is.

SpazzII @Sneek • 1 augustus 2022 15:25

Als de man niet wist waarvoor de accounts gebruikt zouden worden was hij daar ook niet medeplichtig aan, volgens mij wordt dat hier bedoeld. Zoals de slechterikken in films altijd zeggen: "the less you know, the better."

Hij is dan dus wel schuldig aan het doorverkopen van de accountgegevens, maar niet voor wat er daarna mee gebeurd is. Als je iemand een zakmes verkoopt en de koper pleegt er een moord mee, ben je ook niet medeplichtig aan die moord als je niet wist wat de intentie van de koper was.

jeroen79 @SpazzII • 1 augustus 2022 15:55

Met een zakmes zou je dan nog een appel kunnen schillen.

Maar inloggegevens hebben toch maar één doel: Inloggen.

SpazzII @jeroen79 • 1 augustus 2022 15:59

Met een zakmes kan je een appel schillen of iemands huid. Voor beide moet je snijden.
Met inloggegevens kan je een beetje rondneuzen en wenslijsten maken of mensen oplichten. Voor beide moet je inloggen.

Het probleem is hier dus niet zozeer het inloggen, maar oplichting middels valse advertenties. Als de verkoper van de gegevens dacht dat de kopers alleen wat wenslijsten zouden maken, wordt hij dus niet medeplichtig bevonden aan de oplichting die de kopers er mee verricht hebben.

Alex3 @SpazzII • 1 augustus 2022 18:53

Een zakmes mag je gewoon verkopen, accountgegevens niet. En zelfs als je een gestolen zakmes verkoopt ben je niet verantwoordelijk als er een moord mee gepleegd wordt.

SpazzII @Alex3 • 1 augustus 2022 22:26

Slappe poging om de metafoor onderuit te halen zonder op de achterliggende gedachte ervan in te gaan.

Als iemand een zakmes bij je wil kopen met de overduidelijke intentie om daar iemand mee te vermoorden, dan ben je medeplichtig aan die moord als je dat zakmes nog steeds verkoopt. Je hebt in dat geval iemand voorzien van een moordwapen. De intentie is hier dus van belang, niet het verkochte. Hetzelfde principe, waarbij de intentie van de koper bepaalt of de verkoper medeplichtig is, is hier van toepassing imo. Gezien de verkoper in dit geval niet wist waar de accountgegevens voor gebruikt zouden worden (de intentie), kon hij daar ook niet medeplichtig aan zijn. Als hij wel wist dat de accounts gebruikt zouden worden voor oplichting, was hij dus medeplichtig geweest aan diezelfde oplichting. Dat is in ieder geval hoe ik de uitspraak lees. De rechter zegt hier volgens mij dat er geen sprake is van medeplichtigheid omdat de man niet wist waar de accountgegevens voor gebruikt zouden worden. Dat is dus het oordeel van de rechter, niet mijn oordeel.

Je zou nog kunnen aandragen dat moord iets anders is dan oplichting. In dat geval moet je je maar inbeelden dat het zakmes gebruikt zou worden om iemand op te lichten ipv te vermoorden.

Accountgegevens mag je wettelijk gezien trouwens best verkopen als je de eigenaar bent van die gegevens. Misschien dat de organisatie waar het account gehouden wordt daar iets op tegen heeft, maar de wet heeft dat volgens mij niet. Omgekeerd is de verkoop van een zakmes waar je geen eigenaar van bent (of namens de eigenaar handelt) wel weer bij wet verboden.

[Reactie gewijzigd door SpazzII op 23 juli 2024 15:24]

Van der Berg 1 augustus 2022 15:13

Ach wat hebben ze aan al die informatie. Ik doe voor alle forums, niet alleen tweakers.net om een aantal maanden een andere wachtwoorden en dat vervanging ik. Ook heb ik geleerd om niet mijn eigen e-mail adres te geven en ik geef niet mij privé-adres op als e-mail. Ik heb een aparte e-mail adres voor forums en -overige. Want ik heb meegemaakt dat vroeger fout is gegaan en sinds dien hou ik het apart.

Wel raar pas na 4 jaar en 50 uur is te weinig vind ik. Hij heeft de privacy geschonken

[Reactie gewijzigd door Van der Berg op 23 juli 2024 15:24]

juiced01 @Van der Berg • 1 augustus 2022 15:22

Jij doet dat ja, heel goed, maar 383 mensen blijkbaar (nog) niet.

Nostalgmus

@Van der Berg • 1 augustus 2022 15:22

Maar dat doen de meeste mensen niet, je gegevens zijn geld waard want mocht er ooit eens een plain text wachtwoord buit binnengehaald worden dan is het voor oplichters ook handig om eens te kijken of die wachtwoorden het ook doen op al bestaande bulken aan data over jou waar je ooit eens een accountje hebt aangemaakt.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (234)

Sorteer op:

Weergave: